Архивы по Категориям: Душа

Убрать право добавления в домен пользователю

Чтобы убрать права добавлять компьютеру любому пользователю нужно отредактировать свойство домена. По умолчанию Windows  позволяет аутентифицированным пользователям присоединяться к десяти учетным записям компьютеров в домене. Пользователи из групп «Администраторы» или «Администраторы домена» и те пользователи, которые делегировали разрешения на контейнеры в Active Directory для создания и удаления учетных записей компьютеров, не ограничены этим ограничением. Количество рабочих станций, которые в настоящее время принадлежат пользователю, вычисляется путем просмотра атрибута ms-DS-CreatorSID учетных записей компьютеров.

  1. Запустите Adsiedit.msc как администратор домена. Разверните узел домена NC . Этот узел содержит объект, который начинается с «DC =» и отражает правильное имя домена. Щелкните этот объект правой кнопкой мыши и выберите « Свойства» .
  2. В поле « Выберите, какие свойства для просмотра» нажмите « Оба» . В поле « Выбрать свойство для просмотра» нажмите « ms-DS-MachineAccountQuota» .
  3. В поле « Редактировать атрибут» введите количество рабочих станций, которые вы хотите, чтобы пользователи могли ввести в домен.

противодействие WannaCrypt

Как работает WannaCrypts, использует exploit
ETERNALBLUE

Противодействие
— обновление MS17-010
отключение SMBv1
— блокировка открытого порта TCP 445

DOUBLEPULSAR exploit
Противодействие
— обновление MS17-010
отключение SMBv1
— блокировка открытого порта TCP 445

Как может проникнуть
— письмо с ссылкой на ресурсы
— принесли зараженный ноут, не увидели что он заражен.
— из других сетей которые в VPN
Первые меры
— блокировка на всех рабочих ПК  портов 135,139,445 TCP, 137,138 UDP
— отключение SMBv1 — dism /online /norestart /disable-feature /featurename:SMB1Protocol
— установка обновления перезапуск ПК
Чтобы заблокировать порты нужно добавить правила и включить файрволл для всех типов сетей

— Сделать вручную
Netsh Advfirewall Firewall Add Rule name=»1.1 WanaCrypt0r 2.0 TCP» dir=in action=block description=»_WanaCrypt0r 2.0 TCP by AK» profile=any localport=135,139,445 protocol=tcp
Netsh Advfirewall Firewall Add Rule name=»1.2 WanaCrypt0r 2.0 UDP» dir=in action=block description=»_WanaCrypt0r 2.0 UDP by AK» profile=any localport=137,138 protocol=udp
— Через групповую политику
Возможные проблемы блокировки портов
— нет удаленного доступа
— после обновления нужно снять блокировки
— возможно проблемы с работой домена

Обновления
— Установить вручную
— через WSUS,
Возможные проблемы обновления
— при установке сборника обновлений,  устанавливается еще IE обновление, которое сырое и нужно еще накатывать  For Windows   7:   KB4016446, For Windows 10:   KB4016635,  KB4016637

 

 

rundll32

В операционной системе Windows, если вы откроете диспетчер задач, то на вкладке “Процессы”, вы увидите процесс с названием Rundll32.exe. Это же название процесса вы могли встречать в виде ошибок связанных с rundll32.exe.
Это потому, что нет другого способа запускать непосредственно сами файлы DLL, поэтому приложение rundll32.exe используется для запуска функций хранящихся в DLL файлах. Этот исполняемый файл является частью Windows и, как правило, он не является вирусом. Оригинальный файл процесса находится в C:\\ Windows \ System32 \ rundll32.exe.

Rundll32.exe процесс представляет собой утилиту командной строки, он выполняет свои встроенные функции, вместе с файлом rundll.exe . Он работает методом вызова функций, которые экспортируются из определенного 16-битного или 32-битного DLL модуля.

Часто имя процесса Rundll32.exe используется в вредоносных программах, так называемых бэкдорах, которые устанавливаются злоумышленниками ​​с целью получения доступа к вашему компьютеру и личным данным. Этот процесс представляет собой угрозу безопасности, и должен быть немедленно удален из вашей системы. Чтобы определить является ли Rundll32.exe законным или нет, нужно проверить местоположение откуда он запущен.
Читать далее »

Запросы LDAP Google

Оператор Символ Описание
равно = Создает фильтр по полю с указанным значением.
любое значение * Соответствует полю с любым значением, кроме NULL.
скобки ( ) Разделяет фильтры. Этот оператор необходим для работы логических функций.
и & Объединяет фильтры. Все условия должны иметь значение TRUE.
или | Объединяет фильтры. Хотя бы одно условия должно иметь значение TRUE.
не ! Исключает все объекты, соответствующие фильтру.

Основные запросы LDAP подходят для большинства серверов каталогов.

 

Возвращает все объекты, которые могут вызывать проблемы при загрузке:
objectclass=*Возвращает всех пользователей:
(&(objectclass=user)(objectcategory=person))

Возвращает только списки рассылок:
(objectcategory=group)

Возвращает только общедоступные папки:
(objectcategory=publicfolder)

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты начинается с test:
(&(&(objectclass=user)(objectcategory=person))(!(mail=test*)))

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты заканчивается на test:
(&(&(objectclass=user)(objectcategory=person))(!(mail=*test)))

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты содержит значение test:
(&(&(objectclass=user)(objectcategory=person))(!(mail=*test*)))

Возвращает всех пользователей и все принадлежащие им псевдонимы, которые числятся в группе или списке рассылки:
(|(&(objectclass=user)(objectcategory=person))(objectcategory=group))

Возвращает всех пользователей, все группы и контакты, кроме тех, которые содержат значение, указанное в атрибуте extensionAttribute9:
(&(|(|(&(objectclass=user)(objectcategory=person))(objectcategory=group))(objectclass=contact))(!(extensionAttribute9=*)))

Возвращает всех пользователей, состоящих в группе, указанной с помощью уникального имени CN=GRoup,CN=Users,DC=Domain,DC:
(&(objectclass=user)(objectcategory=person)(memberof=CN=GRoup,CN=Users,DC=Domain,DC=com))

Возвращает всех пользователей:

  • на LDAP-сервере Microsoft Active Directory® – (&(objectCategory=person)(objectClass=user));
  • на сервере OpenLDAP™ – (objectClass=inetOrgPerson);
  • на LDAP-сервере IBM® Notes® Domino – (objectClass=dominoPerson).

Выполняет поиск пользователей и групп на LDAP-сервере IBM Notes Domino:
(&(|(objectclass=dominoPerson)(objectclass=dominoGroup)(objectclass=dominoServerMailInDatabase))(mail=*))

Возвращает всех активных пользователей в Active Directory, у которых есть адрес электронной почты:
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Возвращает всех пользователей, состоящих в группе 1 или группе 2 (необходимо задать уникальные имена групп):
(&(objectclass=user)(objectcategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

Возвращает всех пользователей, которым присвоен атрибут extensionAttribute1 со значением Engineering (разработка) или Sales (продажи):
(&(objectcategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

Читать далее »

Корзина Active Directory Recycle Bin в домене Windows Server 2008 R2

Использование корзины Active Directory Recycle Bin в домене Windows Server 2008 R2.

Для возможности активации корзины AD функциональный уровень леса должен быть не ниже – Windows Server 2008 R2. Чтобы проверить текущий уровень леса выполним:

Import-Module ActiveDirectory
Get-ADForest | Format-List Name,ForestMode,DomainNamingMaster

Параметр DomainNamingMaster вернёт нам имя сервера, который выполняет роль мастера именования (Domain Naming Master FSMO). Имя этого сервера потребуется нам в дальнейшем при включении функционала корзины AD.
Если уровень значения ForestMode ниже Windows2008R2Forest и вы готовы выполнить его повышение, выполним:
Get-ADForest | Set-ADForestMode –ForestMode Windows2008R2Forest Читать далее »

WindowsUpdate KB2859537 ошибка запуска приложений 0x0000005

Вчера Microsoft выпустил новое обновление kb2859537 для x64 битной версии Windows 7 и теперь не запускаются все x64 приложения, ошибка 0xc0000005.
После установки обновления KB2859537 не запускаются приложения с ошибкой 0x0000005 0xc0000005.

Решается удалением этого обновления kb2859537
1. wusa.exe /uninstall /kb:2859537
2. панель управления -> программы и компоненты -> просмотр установленных обновлений -> находим KB2859537 и жмём удалить

Выходные дни в мае 2013

официальные праздники в мае 2013Выходные дни в мае 2013  официальные праздники в мае 2013

Ознакомьтесь, пожалуйста, с праздничными днями в мае 2013 года. Читать далее »

Молитва

Извините, Вы не имеете прав на просмотр этого материала!

Поздравляю Вас, от всей души, с праздником женщин!

Дорогие женщины!

Поздравляю Вас, от всей души, с праздником женщин. От лица мужчин прошу у Вас, любимых женщин, прощения.  Прощения за ту боль, которую вольно или невольно мы Вам причиняем. Я и все мужчины выражают глубокую благодарность Вам женщины за Вашу терпимость, спокойствие, доброту, чуткость, за Вашу заботу и создаваемый домашний уют. Мы Вам желаем  быть здоровыми, энергичными, веселыми. Танцуйте, пойте, чувствуйте, улыбайтесь — это делает Вас красивыми.

Любите себя и всех.

Ваши любящие отцы, мужья, сыновья. Целуем и обнимаем.

Поздравление с женским днем

Основатели о Великом Цикле

Получено Сэлом Рейчелом 23 июля 2005 года

Возлюбленные Творцы,

Чтобы передать это послание, мы ждали почти месяц. Канал был занят, он путешествовал и учил. Но в нашем измерении время не имеет значения, поэтому терпение – не проблема. Однако в вашем измерении месяц – это довольно долго. Читать далее »